Washington, Estados Unidos
Las empresas luchan a diario con la pregunta de cuánta seguridad es suficiente en materia informática. Se calcula que el gasto global en seguridad cibernética por parte de industrias de infraestructura vitales alcanzó los US$46.000 millones en 2013, 10% más que un año antes, según la firma de investigación de mercado Allied Business Intelligence Inc.
Pocos conocen el costo de caer en manos de hackers como Robert Carr. Desde que delincuentes cibernéticos accedieron a más de 100 millones de números de tarjetas de crédito y de débito de Heartland Payment Systems Inc. en 2007, Carr, su presidente ejecutivo, ha cuadruplicado su presupuesto de seguridad.
Heartland también gastó US$150 millones en multas y costos legales por el episodio que, además, manchó su reputación como procesador de pagos.
“Hemos hecho muchas cosas desde la brecha (de seguridad) que no habíamos hecho antes”, dijo Carr en una entrevista, como reducir el número de sistemas informáticos que procesan datos valiosos de tarjetas y añadir herramientas de codificación y de monitoreo de sistemas.
La experiencia de Heartland subraya viejas preguntas sobre los costos y beneficios de la ciberseguridad. El gobierno estadounidense desató un debate cuando publicó en febrero nuevas directrices que instan a las compañías en sectores importantes como energía, banca y telecomunicaciones a hacer más para proteger y monitorear sus redes, así como capacitar a sus empleados.
Algunos grupos empresariales criticaron la propuesta, porque, argumentaban, los obligaría a invertir en beneficios inciertos. El aumento en el gasto, dijeron, podría no tener sentido para una firma individual, incluso si ello hacía a Estados Unidos un país más seguro.
La propuesta de la Casa Blanca es “para el público y no para las empresas”, dice Larry Clinton, presidente de Internet Security Alliance, cuyos miembros incluyen el conglomerado General Electric Co., el banco Wells Fargo & Co. y la telefónica Verizon Communications Inc. Las medidas de seguridad cibernética deben ser asequibles para las empresas o ser “respaldadas por alguna clase de incentivo económico”, señala.
Clinton sostiene que la economía global interconectada crea “enormes incentivos económicos para ser insegura”. Por ejemplo, las extensas cadenas de suministro internacionales pueden ofrecer ahorros para los fabricantes, pero al mismo tiempo abrir puertas a los hackers. Lo mismo se aplica a las crecientes redes internas interconectadas que permiten a las empresas administrar activos de forma remota.
La vulnerabilidad se ha hecho evidente en revelaciones recientes de robos de información de clientes en varios minoristas. Un ejemplo es el de Target Corp., de cuyos servidores los hackers robaron 40 millones de números de tarjetas de crédito y de débito, con sus contraseñas. Los ladrones accedieron a los sistemas de las cajas registradoras a través de un contratista de refrigeración.
Funcionarios del gobierno dicen que entienden las preocupaciones de las compañías. “La cantidad de dinero que tienen no cambia”, dice Phyllis Schneck, segundo subsecretario de seguridad cibernética del Departamento de Seguridad Nacional de EE.UU. Agrega que las directrices de Washington provocarán discusiones profundas en las empresas sobre los riesgos de los ataques cibernéticos.
“Empresas grandes y pequeñas hacen análisis para sopesar los costos y los beneficios de cada dólar que gastan”, escribieron en diciembre lobistas de las industrias de la telefonía celular y del cable en una carta sobre el tema al gobierno.
Parte del problema es que es mucho más barato hackear que protegerse. Richard Bejtlich, estratega jefe de seguridad de FireEye Inc. y ex investigador cibernético de la Fuerza Aérea de EE.UU., afirma que por US$1 millón podría formar un equipo capaz de “hackear” prácticamente cualquier blanco, pero el dinero sería insuficiente para una empresa que quiera defenderse.
Seguridad total “no es algo que la mayoría pueda pagar”, dice Bejtlich. Considera que el gobierno debería subsidiar el costo con, por ejemplo, exenciones tributarias.
Carr, el ejecutivo de Heartland, dice que los negocios enfrentan un acto de malabarismo. “Puedes gastar una cantidad infinita en seguridad”, asevera. “¿Cuál es el límite?”.
